Już w lipcu rozpoczynamy tematyczny miesiąc z systemami SIEM oraz DLP. Z tej okazji przygotowaliśmy dla Was krótki poradnik, w którym znajdziecie kilka wskazówek – czyli na co należy zwrócić uwagę zanim dokona się zakupu urządzenia do monitorowania sieci.
SIEM nie taki straszny
Wybór systemu do zarządzania informacjami i bezpieczeństwa bardzo często budzi niepokój w środowisku administratorów. Głównie dlatego, że pozornie, cały proces wdrożenia systemu wydaje się skomplikowany, czasochłonny i na pewno nietani. Należy jednak pamiętać, że wcale nie musi taki być, o ile przed zakupem urządzenia zapamięta się kilka ważnych kwestii.
SIEM – Security Information and Event Management, to oprogramowanie służące do pozyskiwania i zarządzania informacjami i zdarzeniami wynikającymi z dogłębnego monitoringu całej infrastruktury sieciowej. Systemy tego typu gromadzą i agregują dane logów, generowane przez całą infrastrukturę sieciową organizacji, począwszy od systemów hostów i aplikacji, skończywszy na urządzeniach sieciowych i zabezpieczających, takich jak firewall i programy antywirusowe. Następnie oprogramowanie identyfikuje i klasyfikuje incydenty oraz zdarzenia, przy okazji dogłębnie je analizując. Głównym celem rozwiązań typu SIEM są:
- dostarczanie raportów dotyczących incydentów i zdarzeń zachodzących w ruchu sieciowym związanych z bezpieczeństwem, takich jak: udane i nieudane próby logowania, działania niepożądanego oprogramowania oraz inne możliwe szkodliwe działania,
- wysyłanie ostrzeżeń, jeżeli analiza wykaże, że owe wykryte działanie działa w oparciu o wcześniej już określone zestawy reguł, tym samym wskazując na potencjalne problemy z zabezpieczeniami.
Rozwiązanie zapewnia:
- scentralizowane zarządzanie zdarzeniami bezpieczeństwa w czasie przeszłym i rzeczywistym
- korelację i normalizację kontekstu i alertów
- raportowanie wszystkich przechwyconych danych
- pobieranie informacji z praktycznie dowolnego dostawcy lub aplikacji wewnętrznych
Najważniejszymi funkcjami SIEM-u są:
- Agregacja danych – zarządzanie logami łączy dane z wielu źródeł, w tym informacje pochodzące z sieci, serwerów, baz danych, aplikacji. Daje to możliwość konsolidacji monitorowanych danych, aby uniknąć brakujących kluczowych zdarzeń,
- Korelacja – tworzy relacje pomiędzy zdarzeniami oparte na regułach, architekturze i alertach. Integruje ze sobą dane pochodzące z różnych źródeł,
- Alarmowanie – zautomatyzowana analiza skorelowanych zdarzeń i generowanie alertów w celu powiadomienia odbiorców o istniejących problemach i zagrożeniach. Alarmowanie może odbywać się poprzez centralną platformę lub za pośrednictwem zewnętrznych kanałów, takich jak poczta elektroniczna,
- Pulpity nawigacyjne – narzędzie pobiera dane zdarzeń i przekształca je w pomocne identyfikacji określonych aktywności wzorce,
- Retencja – możliwość długoterminowej archiwizacji przechowywanych danych. Ma to kluczowe znaczenie w sprawach np. sądowych, kiedy do udowodnienia wyroku, potrzebne jest potwierdzenie wystąpienia naruszenia,
- Analiza kryminalistyczna – możliwość odnalezienia logów w oparciu o określone kryteria. Funkcja ogranicza konieczność przeszukiwania tysiąca dzienników w celu odnalezienia jednego zdarzenia.
Zanim zdecydujesz się na zakup rozwiązania, sprawdź na co zwrócić szczególną uwagę:
1) Poznaj skalę zagrożeń
Najważniejszą rzeczą, na którą należy zwrócić przy wyborze systemu SIEM, jest wielkość i rodzaj sieci, do której ma on zostać wdrożony. Wiele organizacji niepotrzebnie przepłaca dość sporą sumę pieniędzy tylko dlatego, że nie przemyślało i nie przewidziało potrzeb swojej infrastruktury. „Powinieneś naprawdę zastanowić się, jakie jest użycie sieci, zanim zdecydujesz się na zakup SIEM-u” – radzi John Jolly, dyrektor generalny Syncurity – twórca platformy służącej reagowaniu na incydenty. To absolutnie pierwsza i najważniejsza rzecz, o której powinieneś pomyśleć przy zakupie tego narzędzia. Niestety nie każdy może pozwolić sobie na SIEM-a i nie chodzi tutaj tylko o kwestie finansowe. Aby móc w pełni korzystać z wszystkich funkcji oferowanych przez rozwiązania SIEM, firma musi na bieżąco monitorować zdarzenia i reagować na nie. W idealnym przypadku powinien również istnieć proces reagowania na incydenty, z ustawionymi odpowiednimi politykami i zasobami umożliwiającymi kontrolowanie zdarzeń.
Kolejnym ważnym czynnikiem jest zaangażowanie firm w utrzymanie, wdrożenie i systematyczną aktualizację narzędzia. Nie wystarczy sam jego zakup, lecz ważne jest to, jak będzie ono dalej użytkowane. Administratorzy sieci powinni stale ulepszać polityki, reguły dostosowując je do potrzeb swej organizacji.
2) Wydajność
Wydajność urządzenia, to kolejna ważna kwestia, z którą warto zapoznać się przy zakupie SIEM-u. Serce systemu stanowi gromadzenie i korelacja informacji w dzienniku. Jeżeli korelacja logów jest wykonywana skutecznie, wówczas zagrożenia bezpieczeństwa można zidentyfikować w czasie rzeczywistym. Należy pamiętać jednak, że niektóre produkty mogą ograniczać funkcjonalność (lub gorzej – zatrzymywać rejestrowanie zdarzeń). Zdarza się to np. w przypadku licencji opartych na określonej liczbie logów lub woluminu.
3) Współpraca z obecną infrastrukturą
Podobnie jak w grupie ludzi do owocnej pracy potrzebna jest wspólna akceptacja, tak samo jest z rozwiązaniami sieciowymi. Pamiętaj, że każde wybrane przez Ciebie urządzenie musi być w pełni kompatybilne z wdrożonymi już wcześniej narzędziami. Nie mogą się one wykluczać. Dlatego przed zakupem SIEM-u dokładnie sprawdź wszystkie parametry, przetestuj i przeanalizuj, jak urządzenie działa w środowisku z wdrożonymi już rozwiązaniami do ochrony.
4) Dokładne wyszukiwanie i zgodność logów
Systemy SIEM służą nie tylko przetwarzaniu danych, ale także ich wyszukiwaniu. Przeszukiwanie logów powinno umożliwić analizowanie informacji ze wszystkich podłączonych urządzeń i dzienników, w ramach określonych ram czasowych. Wyszukiwarka powinna dostarczać zarówno informacji historycznych, jak i tych dokonywanych w czasie bieżącym. Ponieważ nie ma jednego akceptowanego wzoru dziennika, nie wszystkie produkty SIEM są w stanie wychwycić zdarzenia z każdego możliwego źródła. Musisz upewnić się, że produkt, który chcesz zakupić, wykazuje zgodność z wszystkimi potrzebami do rejestrowania, analizowania i normalizacji. Ponieważ w przyszłości konieczne może być dodanie logów z nowych, nieznanych źródeł, urządzenie powinno w prosty sposób zapewnić ich integralność.
5) Koszt wdrożenia rozwiązania
Ceny dostępnych na rynku rozwiązań do monitorowania sieci są różne. Na pewno ten typ zabezpieczenia nie należy do najtańszych, jednak możliwości jakie oferuje z całą pewnością są warte swojej ceny. Przed zakupem SIEM-u dowiedz się, jak urządzenie jest licencjonowane, ile wynoszą podstawowe opłaty oraz czy są do nich naliczane dodatkowe koszta związane z liczbą zdarzeń w określonym czasie.
6) Pulpity nawigacyjne, raportowanie i ogólny interfejs użytkownika:
Narzędzie musi zapewnić możliwość tworzenia własnych pulpitów i raportów. W idealnym przypadku pulpity nawigacyjne powinny działać w czasie rzeczywistym i zapewniać możliwości przeglądania. Ważna jest także łatwość tworzenia raportów niestandardowych. Ponieważ produkt SIEM będzie jednym z głównych narzędzi wykorzystywanych podczas badania lub analizy wszelkich incydentów związanych z bezpieczeństwem, jego wydajność i ogólny interfejs użytkownika powinny być wystarczająco intuicyjne, aby nie spowalniały pracy całego systemu.
Podczas miesiąca tematycznego, będziecie mieli okazję poznać od podszewki urządzenia SIEM takich producentów, jak:
Rozwiązanie Trustwave zbiera, analizuje i przechowuje logi z sieci, hostów, aplikacji. Usługa zapewnia całkowitą widoczność sieci, pomagając firmom w skuteczny sposób identyfikować zagrożenia i łagodzić skutki najgroźniejszych ataków. Urządzenie jest zgodne ze wszystkimi standardami prawnymi i biznesowymi. Trustwave Managed SIEM obejmuje elastyczne opcje wyboru urządzenia, zapewniające klientom możliwość dopasowania narzędzia do potrzeb i potencjału infrastruktury. Logiczne filtrowanie dzienników za pomocą prostego w obsłudze interfejsu, umożliwia wyszukiwanie szczegółowych danych na wyciągnięcie ręki.
Webinarium: Trustwave – Usługi zarządzalne: bezpieczeństwo czy przypadkowość?
5 lipca | godzina 10:00
Cybowall to nieinwazyjne, bez agentowe narzędzie, zapewniające pełne i ciągłe monitorowanie sieci we wszystkich protokołach i punktach końcowych. Narzędzie chroni infrastrukturę w czasie rzeczywistym. Wykrywa i reaguje na zagrożenia w miarę pojawienia się ich na horyzoncie. Cybowall łączy w sobie wiele narzędzi i funkcji cyberbezpieczeństwa, zamkniętych w jednym produkcie. Dzięki rozwiązaniu zabezpieczysz sieć bez względu na jej rozmiar i zapewnisz jednolitą ochronę przed stale zmieniającym się krajobrazem zagrożeń.
Webinarium: Cybowall: inteligentna analiza ruchu w sieci i wielowymiarowa ochrona przed zagrożeniami.
10 lipca | godzina 10:00
SolarWinds Log & Event Manager oferuje zaawansowany system do monitorowania sieci. Narzędzie przetwarza, wyszukuje i analizuje logi, opierając się na regularnie aktualizowanych informacjach o zagrożeniach. Dodatkowe funkcje obejmują monitorowanie integralności plików (wykrywanie i ostrzeganie o zmianach w plikach kluczy, folderach i kluczach rejestru), aktywną reakcję (umożliwia użytkownikom automatyczne powiadomienia o zdarzeniach w celu przeciwdziałania atakom w czasie rzeczywistym i podejmowanie działań zapobiegawczych, takich jak blokowanie adresów IP, wylogowywanie użytkowników, wyłączanie urządzeń i uśmiercanie działających procesów.
Webinarium: SolarWinds: zarządzanie infrastrukturą z administratorem na pierwszym planie.
17 lipca | 10:00
AlienVault zapewnia skuteczne wykrywanie zagrożeń, reagowanie na incydenty i zarządzanie zgodnością w środowiskach chmurowych, lokalnych i hybrydowych. Łączy w sobie potężne możliwości zarządzania SIEM oraz logowaniem z innymi kluczowymi narzędziami bezpieczeństwa – w tym wykrywaniem zasobów, oceną zagrożeń oraz wykrywaniem włamań. AlienVault sprawdza się w firmach różnej wielkości, pomagając zlokalizować niebezpieczeństwo wewnątrz sieci, umożliwiając tym samym natychmiastową reakcję.
Webinarium: AlienVault – Zintegrowane Zarządzanie Bezpieczeństwem
31 lipca | godzina 10:00
Redaktorka Net Complex Blog